Agenda. I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Agenda. I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar"

Javier Poblete Sosa
hace 8 años
Vistas:

2 Agenda I. Presentación II.Antecedentes III.Distintos ámbitos IV.A jugar

3 Juan Antonio Calles Quiénes somos? Jefe de Proyectos de Seguridad en everis elblogdecalles.blogspot.com

4 Quiénes somos? Pablo González Responsable de Seguridad en Informática

5 Antecedentes

6 Se pueden hacer las cosas bien!

7 Entrevista a Carles Pons, director de tecnología de Akamon Entertainment (mundijuegos.com) 9 millones de usuarios registrados Presencia en más de 7 países Funcionando en varios idiomas.

com) 9 millones de usuarios registrados Presencia en más de 7 países

8 Qué tipos de ataques son los más generalizados? Tenemos bastante variedad, aunque nada distintos de los que suelen ocurrir otras plataformas online: perfiles falsos para suplantar a usuarios, robo de cuentas, intentos de phishing, intentos de recargar fichas de forma fraudulenta, ataques de fuerza bruta Con tantos usuarios cómo detectáis y actuáis ante posibles tramposos cuando no se está recibiendo un ataque puramente tecnológico? Tenemos un equipo de gestión de usuarios y soporte al cliente que rápidamente detecta los intentos de hacer trampas, y en ese caso siempre procedemos con el bloqueo de los tramposos

cuentas, intentos de phishing, intentos de recargar fichas de forma fraudulenta, ataques de fuerza bruta Con tantos usuarios cómo detectáis y actuáis ante

9 Prácticamente todo el negocio de Akamon depende de vuestros juegos los cuales están hechos en Flash. Recuerdo que hace pocos años casi todos estos juegos podían trampearse con relativa facilidad a base de modificar variables con Cheat Engine, descompiladores de Flash, manipulando las peticiones, etc. Cuál es el panorama actual de la tecnología Flash con respecto a la seguridad de las aplicaciones? Hoy en día este tipo de problemas ya no existen. Basta con mover toda la lógica de los juegos a la parte del servidor por lo que cualquier petición o valor que se manipule en el cliente, a la hora de validarse en el servidor se detectará y corregirá. Desde el reparto de cartas, el número de tiradas, los valores que sacan los dados, el número de casillas a moverse, todo se calcula en el servidor por lo que está a salvo de este tipo de ataques.

Cuál es el panorama actual de la tecnología Flash con respecto a la seguridad de las aplicaciones? Hoy en día este tipo de problemas ya no existen.

10 Pero también se pueden hacer muy mal

13 Me lo puede decir en pesetas?

14 Distintos ámbitos

15 Las medidas de seguridad dependerán de Web Escritorio

16 Juego Web Web Escritorio

17 Web Mismas medidas de seguridad que en un portal web, compras online, etc. Validación de parámetros en servidor en vez de en cliente Bastionado de servidores o Eliminación de servicios innecesarios o Cuentas sin privilegios de administración o Bloqueo de USBs, prohibidas las grabadoras o Etc. Separación de actividades por servidores o Servidor de aplicaciones o Servidor de bbdd o Etc.

de servicios innecesarios o Cuentas sin privilegios de administración o Bloqueo de USBs,

18 Web Protección Anti-DoS y ante ataques de fuerza bruta Arquitectura dimensionada a las necesidades Actualizaciones periódicas de la infraestructura Antivirus Filtros de inyecciones web: o XSS o Xpath Injection o Blind Injection o CSRF o Path traversal o SQL Injection o Etc.

infraestructura Antivirus Filtros de inyecciones web: o XSS o Xpath

19 Web SQL Injection? Ezoo ke ee??

20 Web

21 Web

22 Ganar siempre al Apalabrados Si interceptamos las peticiones con un proxy podemos modificar la petición, para hacer uso de las letras que más nos convengan. Ocurre porque no hay una validación adecuada en el lado del servidor

23 Ganar siempre al Mezcladitos

24 Juego Escritorio Web Escritorio

25 Escritorio Protección frente a vulnerabilidades de código: o Buffer overflow (Ej. Exploits Xbox, Wii, etc.) o Inyecciones (SQL Injections, etc.) Cifrado de datos o Contraseñas o Variables importantes del juego Ofuscación de código o Dificultando la vida a los reversers Cuidado con la Ram leches!

26 A jugar

28 Recuperando una clave de un videojuego

29 Recuperando una clave de un videojuego

30 Recuperando la clave con Net Reflector

31 Recuperando la clave con Net Reflector

32 Validando la clave

33 Recuperando la clave con Net Explorer

34 Recuperando la clave con Net Reactor

35 Recuperando la clave con Net Reactor

36 Ofuscar el código: Soluciones? o Por ejemplo, con Eazfuscator o NetReactor (.Net) Intentar separar el contenido de una cadena en partes y cifrarlas por separado: o o Ej. Malo: Ej. Bueno: password = ; p1 = 123; P2 = 456; p1=cifrar(p1); p2=cifrar(p2); password=p1+p2;

37 Eazfuscator

39 Modificando balas en el CS

40 Recomendaciones de desarrollo seguro Uso de OWASP Top 10 y OWASP Testing Guide Tu app con interacción web: Filtrado de parámetros Evitar SQL Injection Evitar XSS Evitar LFI Gestión de cookies HTTPs (Only) Almacenamiento/envío de valores de manera segura Cifrados, conexión segura, certificados, etc.

41 Recomendaciones de desarrollo seguro Lógica en el cliente (error) El servidor debe validar cada interacción!!!! En el cliente Almacenamiento de claves seguro (cifrado) Envío de claves y cookies seguro (HTTPs) Utilizar mecanismos seguros para borrar valores en la RAM (problema en Android) Evitar claves inseguras en registro (Windows) Cookies no permanentes

42 Recomendaciones de desarrollo seguro Actualizaciones en los componentes como Flash Java Hace poco Owned!

43 Nueva patente anti-pirateria

44 Grupo Flu Project Grupo Flu Project Feeds.feedburner.com/FluProject

Documentos relacionados

Su Seguridad es Nuestro Éxito

Su Seguridad es Nuestro Éxito c. Santander, 101. Edif. A. 2º I 08030 Barcelona I Tel.: 93 305 13 18 I Fax: 93 278 22 48 I info@isecauditors.com I www.isecauditors.com OWASP Conference 2007 Barcelona, Julio